RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Warezov.nf
| Время детектирования | 19 апр 2007 15:50 MSK |
| Время выпуска обновления | 25 июн 2007 19:16 MSK |
| Описание опубликовано | 19 апр 2007 15:50 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вирус-червь, распространяющийся посредством электронной почты. В качестве вложения в письма червь помещает не свою копию, а компонент, который может загружать из Интернета другие вредоносные программы.
Зараженные сообщения рассылаются по всем найденным на компьютере электронным адресам.
Вирус является приложением Windows (PE EXE-файл). Упакован при помощи Upack. Размер его компонентов варьируется в пределах от 20 до 135 КБ.
Инсталляция
При запуске червь отображает на экране следующее сообщение:
Затем вирус копирует свой исполняемый файл в системный каталог Windows под именем «hotpmsta.exe»:
%System%\hotpmsta.exe
Создаются следующие файлы:
%System%\hotpmsta.dll %System%\hotpmsta.dat
Также червь создает ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta] "DllName" = "%System%\hotpmsta.dll" "Startup" = "WlxStartupEvent" "Shutdown" = "WlxShutdownEvent" "Impersonate" = dword:00000000 "Asynchronous" = dword:00000000
Распространение через электронную почту
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.
Пример зараженного письма:
В качестве файла вложения рассылается компонент червя, предназначенный для скачивания из Интернета других вредоносных программ.
Деструктивная активность
Действия основного модуля червя
Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.
Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.
Действия рассылаемого по почте компонента
Функция данного компонента заключается в загрузке из Интернета других файлов без ведома пользователя.
Рассылаемый червем компонент скачивает файл по следующей ссылке:
http://linktunhdesa.com/***32.exe
На момент создания описания по данной ссылке располагалась последняя версия исполняемого файла червя.
Скачанный файл сохраняется во временной папке Windows с произвольным именем, после чего запускается на исполнение.
Рекомендации по удалению
Обнаружение. Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».
«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данный вирус без обновления антивирусных баз.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Вручную удалить следующие файлы из системного каталога Windows:
%System%\hotpmsta.exe %System%\hotpmsta.dll %System%\hotpmsta.dat
- Удалить ключ реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta]
- Удалить все зараженные письма из всех почтовых папок.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Virus:
W32/Stration. gen@MM (McAfee) - Mal/Generic-A (Sophos)
- Worm.
Stration. AEF-9 (ClamAV) - W32/Worm.
EMA (FPROT) - Trojan:
Win32/Lodap!rts (MS(OneCare)) - Win32.
HLLM. Limar (DrWeb) - Win32/Stration worm (Nod32)
- Win32.
Warezov. YM (BitDef7) - Win32:
Warezov-CRH [Wrm] (AVAST) - Win32.
Warezov (Ikarus) - I-Worm/Stration.
DOH (AVG) - WORM/Stration.
Gen (AVIRA) - W32.
Stration. CX@mm (NAV) - W32/Stration.
FNJ (Norman) - WORM_STRATION.
MA (PCCIL) - Worm.
Mail. Win32. Warezov. nf (Rising) - Email-Worm.
Win32. Warezov. nf [AVP] (FSecure)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей